Warum Phishing funktioniert
Die Psychologie der E-Mail-Scams
Der Mensch, das immergleiche Risiko
Der zunehmende Wandel in unserer Gesellschaft hinsichtlich Schnelllebigkeit und mobile Erreichbarkeit bedeutet, dass wir mit Nachrichten aus mehr Bezugsquellen als je zuvor konfrontiert werden - und das nicht nur im Büro, sondern auch zu Hause. Dieses E-Mail-Volumen konditioniert den Menschen. Der Eingang von zu wenigen oder zu vielen gefährlichen Bedrohungen führt zu einer höheren Klickrate. Ab einer Anzahl von 100 gefährlichen Nachrichten pendelt sich die Klickwahrscheinlichkeit bei 60 Prozent ein.
Foto: Fiedels - Fotolia.com
Ein Hauptgrund hierfür ist, dass sich unsere Aufmerksamkeitsspanne zunehmend verkürzt - wir entwickeln uns langsam zu einer Generation von überenthusiastischen Klickern. Denn es ist schon fast zu einer automatischen Reaktion geworden, nach dem Öffnen einer neuen Nachricht innerhalb von Sekunden zu entscheiden, ob auf einen Link geklickt wird oder nicht.
Benutzer können zwar unerwünschte E-Mails von nützlichen E-Mail-Nachrichten unterscheiden, haben jedoch zunehmend Schwierigkeiten, Phishing-Mails zu erkennen, weil unangeforderte E-Mail-Nachrichten und Benachrichtigungen von beliebten Diensten an der Tagesordnung sind. Bei dieser Entscheidung ist es ausschlaggebend, ob der Inhalt uns relevant und sinnvoll erscheint. Nach einem Klick werden die Website geöffnet, der Inhalt gelesen und dann sofort die nächste Nachricht angesehen.
Psychologisch gesehen ist der Mensch darauf konditioniert, auf Links zu klicken - und Cyber-Kriminelle nutzen diese Verhalten schamlos aus, indem sie die E-Mails besonders klickfreundlich gestalten.
Wer klickt?
Mitarbeiter in allen Unternehmen klicken. Innerhalb einer bestimmten Angriffswelle auf ein Unternehmen sind durchschnittlich 10 Prozent der Benutzer für 100 Prozent der Klicks verantwortlich. Selbst die besten Unternehmen der Branche haben eine Klickrate von über einem Prozent. Konventionelle Annahmen beruhen darauf, dass Wiederholungsklicker das höchste Risiko für ein Unternehmen darstellen. Unsere Analysen belegen jedoch, dass dennoch ein hoher Restanteil an Klicks verbleibt, der von Einmalklickern ausgeht, und zwar durchschnittlich 40 Prozent.
Auf was?
Besonders erfolgreiche Köder sind die Kommunikation über soziale Netzwerke, Benachrichtigungen von Banken und Auftragsbestätigungen. Allerdings bergen gefälschte LinkedIn-Einladungen bei Weitem die größte Gefahr. Die Cyber-Kriminellen nutzen den Ruf des beliebten, vertrauenswürdigen und professionellen sozialen Netzwerks aus und erzielen damit eine Erfolgsrate, die vier Mal höher ist als jede andere Art von E-Mail-Attacken.
Wer ist Ziel?
Es ist unser aller Problem. Phishing-Angriffe auf Führungskräfte und Benutzer aus dem mittleren Management erwecken aufgrund ihres hohen Aufmerksamkeitswerts oft den Eindruck, dass sich gezielte Angriffe hier eher lohnen, zumal Führungskräfte Zugang zur Unternehmensspitze haben. Angreifer können jedoch die Schutzmaßnahmen einer Organisation an jeder Stelle umgehen und anschließend versuchen, sich einzureihen. Tatsächlich ist es so, dass Mitarbeiter doppelt so häufig angegriffen werden als das mittlere Management und 1,3 Mal so häufig wie Führungskräfte.